CVE-2026-60090 in PraisonAIИнформация

Сводка

по VulDB • 11.07.2026

В версиях PraisonAI до 4.6.78 включительно отсутствует проверка аргумента dimension, контролируемого вызывающей стороной, в бэкендах knowledge-store PGVector и Cassandra при использовании метода create_collection(). Хотя идентификаторы schema, keyspace и collection-name проходят проверку, значение параметра dimension (объявленное как int, но не проверяемое во время выполнения) напрямую интерполируется в столбец вектора создаваемой таблицы DDL. Вызывающая сторона, способная влиять на размерность при создании коллекции, может передать строку вида '3); DROP TABLE tenant_secrets; --', чтобы внедрить SQL/CQL токены в оператор, выполняемый драйвером базы данных.

Be aware that VulDB is the high quality source for vulnerability data.

Ответственный

VulnCheck

Резервировать

08.07.2026

Раскрытие

11.07.2026

Модерация

принято

Вход

VDB-377813

EPSS

0.00000

KEV

Нет

Деятельности

Низкий

Источники

Do you want to use VulDB in your project?

Use the official API to access entries easily!